学习资源:
全同态加密I:理论与基础(上海交通大学 郁昱老师)
全同态加密II:全同态加密的理论与构造(Xiang Xie老师)
现在第二代(如BGV和BFV)和第三代全同态加密方案都是基于LWE构造的,现在先进的全同态方案也都是基于LWE的,所以本文总结一下LWE的基础知识。
首先考虑,我们希望加密一个数 s s s, 现在用一系列的 a i a_i ai对 s s s进行加密,得到 a i s a_is ais,实际上通过求解最大公约数GCD就能求解出 s s s。但是,如果加上一个随机噪声 e i e_i ei,得到 a i s + e i a_is+e_i ais+ei,那么将难以求解出 s s s的值。这个过程就是我对LWE的简单理解,所谓error就是一个noise。
全同态加密的计算过程分为三步:密钥生成KeyGen、加密Enc、同态计算Eval、解密Dec。、
KeyGen:
首先构造出如上的等式, s ⋅ A + e = s A + e s\cdot A + e = sA+e s⋅A+e=sA+e,然后得到公钥pk( − A -A −A和 s A + e sA+e sA+e的拼接),以及私钥sk( s s s和1的拼接)。于是得到pk和sk满足相乘后的结果是随机噪声e(接近0)。
Enc:
加密用的公钥pk,r是一个只包含0或1的随机向量,m是待加密的信息(放在向量的最低位上)。
Dec:
解密用的私钥sk,和ct计算完内积后求mod 2得到解密结果。
正确性证明:
sk和pk相乘得到2e(KeyGen时满足的条件),然后和r做内积得到一个很小的偶数噪声,最终的结果就是m+很小的偶数噪声,于是通过mod 2就能将噪声消除,得到解密结果m。这也就是为什么构造的噪声是2e,而不是e,我的理解就是希望通过构造偶数的随机噪声,从而在解密时方便用mod 2的方式消除掉噪声。
安全性证明:
当pk是伪随机的,r具有足够高的熵(也就是随机性很强?)时,pk和pk乘r都是伪随机的。自然和带m的向量相加后,加密结果也是伪随机的。
下面是Xiang Xie老师的公式化描述:
加密公式:密文c = 公钥pk ✖️ 随机r + 明文m
解密公式:明文m = <密文sk, 私钥sk> mod q mod 2
在这个基础上,再mod 2就能解密出明文m的值。只要噪声够小,就能保证正确性。
这里有个需要区分的事情:以上 P K = ( A , b = A s ′ + 2 e ) PK=(A, b=As'+2e) PK=(A,b=As′+2e)是BGV方案,BFV则是 P K = ( A , b = A s ′ + e ) PK=(A, b=As'+e) PK=(A,b=As′+e),区别是BGV将信息编码在低位,而BFV将消息编码在高位(学习BFV的时候会说明)。
Eval(加法同态和乘法同态):
注意到同态加法或乘法都会带来显著的噪声累积,并且乘法是呈平方增长趋势。
然后说说如何解密同态乘的结果,下面的式子可以看到:两个密文做乘法,等价于密文和私钥分别先做tensor product,然后再做内积。因此,显然密文和私钥的大小都翻了一倍。Example是一个等价性的证明。
那么问题来了,如何将同态乘之后的密文大小和私钥大小都恢复回去呢?这就是Key Switching解决的问题。
下面是Xiang Xie老师的描述:
Key Switching
目标是将密文和私钥的大小恢复到线性大小。
现在求密文c1和c2的乘法:
以上过程基于比特分解这个概念:
下面是Xiang Xie老师的描述:
Key Switching的目标:将私钥 s ~ \tilde s s~下的 c ~ \tilde c c~ 转换为 私钥 s s s下的 c c c,并且 c ~ \tilde c c~和 c c c都是加密的同一个明文。
这里有一个核心概念是Key Switching Key (KSK),也就是用私钥 s s s来加密 s ~ \tilde s s~。
通过Key Switching过程,可以推导出私钥从 s ⊗ s s\otimes s s⊗s变成了线性的 s s s,同时密文从 c ~ \tilde c c~变成了线性的 c c c。并且通过最后一行式子可以看出,Key Switching后的 ⟨ c , s ⟩ \langle c, s\rangle ⟨c,s⟩和原来的 ⟨ c ~ , s ⊗ s ⟩ \langle \tilde c, s\otimes s\rangle ⟨c~,s⊗s⟩之间相差了一个噪声 2 c ~ T e ~ 2\tilde c^T\tilde e 2c~Te~,这部分是可以非常大的!所以到这里仍然没办法实现Key Switching。
这里引入了一个Gadget矩阵G:
于是,Key Switching的过程变成了下面这样:
此时,增加的误差就非常小了。
总结一下就是,通过Key Switching,原来私钥 s ~ = s ⊗ s \tilde s=s \otimes s s~=s⊗s下的 c ~ = c ⊗ c \tilde c=c\otimes c c~=c⊗c,被转换成了私钥 s s s下的 c c c,注意Key Switching后的 s , c s, c s,c都不是原来的值了(double check)。
对于BGV,加法的噪声线性增长,乘法的噪声平方增长,Key Switching虽然可以支持乘法了(限制sk变得特别大),但是实际上噪声是在原本乘法噪声基础上加了一个很小的噪声,总体也非常大。因此需要进一步降低这个噪声。
Modulus Reduction
到这里,通过LWE实现了很小深度的同态乘法和加法计算,key switching则是对每层用新的密钥,但是随着计算深度加深,噪声的扩大是爆炸性的,因此还不是一个levelled FHE(能计算指定深度的FHE)。
现在我们希望不借助bootstrapping,实现一个能计算一定深度的FHE,需要用到模数变换。
暂时没太看懂中间的流程,简而言之就是将密文c从模q的域变换到模p的域上(p<<q),于是噪声等比例缩小,也就是大约缩小到原来的p/q倍。
下面是一个具体的例子:
如果不做Modulus Reduction,随着深度加深,噪声呈双指数趋势增长,level >= 3之后就会带来解密错误。
如果每个level上做Modulus Reduction,那么噪声也会被维持在一个绝对值范围内,代价就是模数会不断减小。
所以要想实现一个levelled FHE,可以设置一个模数 B d B^d Bd,然后就可以计算一个深度为 d d d的电路了(其中 B B B是刷新后密文的噪声上界)。计算完 d d d的深度后,模数应该是降低到 B B B,要保证此时解密不出错。BGV就是一种levelled FHE。
